Architektura serverů
Služby jsou koncipované tak, aby vše bylo segmentované. Tj. Co služba, to VPS a příp. vlastní fyzický stroj.
VPS má vždy nižší privilegia jak hypervisor. Tj. když dojde ke kompromitováni jedné VPS, není triviálně možné eskalovat práva na hostu a převzít kontrolu nad jinými službami.
Všechny operační systémy (OS) jsou udržované aktuální. Žádná část nejede na nepodporované (EoL) distribuci. Systémový tým hlídá EoL systému a hlásí to aplikačnímu týmu včas (typicky 3/4 roku dopředu, aby mohly proběhnout přípravy).
Na každém OS jsou automaticky aplikovány bezpečnostní aktualizace. Týká se to všech VPS i hypervisorů. Pravidelně se provádí i aktualizace kernelu a test bootu systému.
Každá služba je nasazená podle principu "least-privilege access" a je na ně aplikovaný standardní "hardening". (Např. nic aplikačního neběží s vyššími právy než je potřeba, služby mají své vlastní systémové uživatele a práva jsou omezena pouze na činnosti, které jsou potřebné k dané funkci).
Distribuce konfigurací je automatizovaná.
Síť
Každý prvek v síti má nastavený restriktivní firewall (packet filtering a traffic flow control):
- Nikde v síti není DMZ (demilitarized zone). Vše je nastavené tak, že se vnitřní síť bere jako nedůvěryhodná (zero-trust architecture).
- To samé platí i pro VPS na jenom hypervisoru. Pokud to není potřeba VPS na sebe nevidí.
- Tam, kde to dává smysl, je nasazený odchozí firewall (např. DB nepotřebují přistupovat na internet).
- Všechny lokální služby, ke kterým se přistupuje lokálně jsou explicitně bindované na localhost. Takže i v případě, že by selhal firewall, služby beztak nebudou dostupné ven.
Obecně je v LAN povolen pouze nezbytný přístup mezi jednotlivými prvky (tj. do DB má přístup jen a pouze ta část aplikace, která jej potřebuje. Různé DB se mezi sebou nevidí.)
(Vnitřní síť je fyzicky segmentovaná switchem. Tj. není možné provést útoky typu "VLAN hopping".)
Každý hypervisor vynucuje filtrování zdrojové IP adresy. Tj. je implementovaný anti-spoofing podle BCP 38 (RFC 2827).
Všechny servery jsou za velkým firewallem, který filtruje tok z internetu a příp. do internetu, pokud to pro danou službu dává smysl.
Ven do internetu jsou povolené jen porty potřebné pro komunikaci s klienty a pro vývoj. Vše ostatní je zavřené.
Komunikace s klienty je řešená vždy přes šifrovaný kanál (SSL/TLS, SSH/SFTP).
Zálohy
Zálohy se dělají celých VPS, jednotlivých OS, aplikačních dat a DB dumpů. Drží se 30 dní.
Jsou šifrované "at rest" silným algoritmem a je nich zaručená integrita dat. (Navíc je použitá dobrá kryptografická hash.)
Checksumy souborů jsou pravidelně kontrolované a příp. korupce souborů je opravená.
Zálohy jsou do určité míry odolné vůči smazání.
Zálohuje vždy přes šifrovaný tunel a to i lokálně na LAN.
Monitoring
Každý server má nasazený základní systémový monitoring:
- CPU, RAM, NET, disk I/O, zatížení systému, ...
- Kontrola zda běží kritické služby a fungují (app, DB, fw, ...).
Nasazené základní logování anomálií v systému. Nejedná se o SIEM (Security information and event management), je nasazené lokální logování a alerovaní!
Fyzický přístup do DC je monitorován.
Audit
Jednou ročně systémový tým dělá audit stavu všech serveru a jejich zabezpečení. Případné problémy rovnou opravuje.
Systémový tým
Systémový tým (dále jen tým) se stará o správu všech systémů, udržuje je aktuální, pomáhá debugovat a řešit aplikační problémy a sleduje současné hrozby. Tým má dlouhodobé zkušenosti se zabezpečováním OS, obranou proti běžným útokům a řešením incidentů.
Tým má výbornou znalost infrastruktury a architektury DISIVO serveru.
Probíhá neustálé vzdělávání týmu nejen z pohledu bezpečnosti a zranitelnosti systémů, ale i obecného fungování moderní počítačové architektury.